Procedura zgłoszenia naruszenia danych osobowych organowi nadzorującemu w świetle przepisów RODO

W dniu 25 maja 2018 r. to dla wielu data magiczna, ponieważ z tą datą zacznie obowiązywać nas wszystkich rozporządzenie Parlamentu Europejskiego i Rady (EU) 2016/679 z dnia 27 kwietnia 2016 r. tj. ogólne rozporządzenie o ochronie danych. 

W związku z powyższym, administratorzy oraz procesorzy, którzy przetwarzają dane osobowe, pomimo iż nie zostały jeszcze uchwalone w tym wymiarze przepisy krajowe, a projekt pozostaje obecnie na papierze, od powyżej wskazanej daty będą posiadali prawny obowiązek stosowania się do RODO.

Jednym z nowych rozwiązań wprowadzonych przez przepisy RODO jest procedura zgłoszenia naruszeń danych osobowych organowi nadzorującemu te procesy w danym kraju.

Każdy administrator danych osobowych oraz procesor, czyli podmiot przetwarzający dane osobowe, zobligowany będzie ww. rozporządzeniem unijnym, do ochrony przetwarzanych przez siebie danych osobowych w razie wystąpienia naruszenia, poprzez złożenie tzw. „donosu” (tj. powiadomienia) w związku z zaistniałą sytuacją do organu nadzorującego, a także zawiadomienie osoby, której dane dotyczą, o wystąpieniu danego naruszenia jego ochrony danych osobowych.

Na terenie Rzeczpospolitej Polskiej organem nadzorującym od dnia 25 maja 2018 r. będzie UODO czyli Urząd Ochrony Danych Osobowych.

W sytuacji, gdy dojdzie do naruszenia danych osobowych, administrator – bez zbędnej zwłoki, ale nie później niż w terminie 72 godzin po stwierdzeniu naruszenia ma obowiązek zgłosić ten fakt UODO. Pamiętajmy, iż czas ten liczyć będziemy, nie od dnia powstania naruszenia, a od jego stwierdzenia. Jeżeli jednak nie dokonaliśmy powyższej czynności ww. terminie czasowym, powinniśmy natychmiast, bez zbędnej zwłoki poinformować urząd o zaistniałym naruszeniu oraz podać przyczyny powstałego opóźnienia poprzez złożone sprawozdanie- zgłoszenie ww. sprawie.

Zgłoszenie naruszeń danych osobowych powinno zawierać:

  • opis charakteru naruszeń ochrony danych osobowych, w tym w miarę możliwości wskazanie kategorii i przybliżoną liczbę osób, których dane dotyczą, oraz kategorię przybliżoną wpisów danych osobowych, których dotyczy naruszenie;
  • imię i nazwisko oraz dane kontaktowe inspektora ochrony danych osobowych lub oznaczenie punktu kontaktowego, od którego można uzyskać więcej informacji;
  • opis możliwych konsekwencji naruszeń ochrony danych osobowych;
  • opis środków zastosowanych lub proponowanych przez administratora w celu zapobieżenia naruszeniu danych osobowych, w tym w stosowanych przypadkach środki w celu zminimalizowania jego ewentualnie negatywnych skutków.

Zgodnie z krajowym projektem ustawy o ochronie danych osobowych postępowanie o naruszenie danych osobowych będzie postępowaniem jednoinstancyjnym. Decyzje, które będą wydawane w tej materii przez Prezesa UODO będą podlegały natychmiastowemu wykonaniu, po przeprowadzonym postępowaniu przez ww. urząd.

W trakcie tej procedury UODO będzie mógł przeprowadzić kontrolę, a także dowody w toczącym się postępowaniu, a nawet ograniczyć wgląd do materiału dowodowego, Prezes Urzędu na wniosek lub z urzędu będzie mógł, w drodze postanowienia, w niezbędnym zakresie ograniczyć prawo wglądu do materiału dowodowego, jeżeli udostępnienie tego materiału groziłoby ujawnieniem tajemnicy przedsiębiorstwa, lub innych tajemnic podlegających ochronie na podstawie odrębnych przepisów.

Natomiast, jeśli w toku postępowania zostanie uprawdopodobnione, że przetwarzanie danych osobowych narusza przepisy o ochronie danych osobowych, a dalsze ich przetwarzanie mogłoby spowodować poważne i trudne do usunięcia skutki, Prezes Urzędu w celu zapobieżenia tym skutkom będzie mógł, w drodze postanowienia, zobowiązać podmiot, któremu zarzucane będzie naruszenie przepisów o ochronie danych osobowych, do ograniczenia przetwarzania danych osobowych wskazując dopuszczalny zakres tego przetwarzania.

Pamiętajmy, iż za naruszenie danych osobowych, zgodnie z ww. rozporządzeniem, uważa się naruszenie bezpieczeństwa prowadzące do przypadkowego lub niezgodnego z prawem zniszczenia, utracenia, zmodyfikowania, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych.

Należy również pamiętać, iż nie każde naruszenie ochrony danych osobowych, zgodnie z powyżej wspomnianym rozporządzeniem, będzie podlegało procedurze zgłoszenia do organu nadzorującego, albowiem naruszenie, co do którego jest mało prawdopodobne, by skutkowało ryzykiem naruszenia praw lub wolności osób fizycznych nie będzie wywierało takiego skutku prawnego, który by uruchamiał procedurę zgłoszenia przewidzianą w art. 33 ust 1 ww. rozporządzenia.

Jednakże warto pamiętać, iż niezgłoszenie do organu nadzorującego naruszenia, które winno podlegać bezwzględnie raportowaniu, może prowadzić do nałożenia przez UODO bardzo wysokich kar pieniężnych, albowiem za naruszenia ochrony danych osobowych grozić może nam kara w wysokości do 10 milionów euro lub do 2% wartości rocznego światowego obrotu naszego przedsiębiorstwa, a w razie ukrycia powstałego naruszenia zapewne urząd nie zastosuje wobec nas taryfy ulgowej, lecz będzie w pełni uprawniony do zaostrzenia wysokości sankcji finansowej.

Pamiętajmy – 25 maja 2018 r. zbliża się nieubłaganie a nasze firmy mają obowiązki dostosować procedury przetwarzania danych osobowych do uchwalonego już w 2016 r. ww. rozporządzenia Parlamentu Europejskiego i Rady. Czas zatem przygotować się rzetelnie do ewolucji, jaka nasz czeka w zakresie przetwarzania danych osobowych.

 

 

 

[mc4wp_form id="5288"]